KT 사고에서 드러난 통신사 보안 허점은?

IT동아 갤러리

자동 짤방 이미지

이미지가 없습니다.

자동 짤방으로 사용할 이미지를 등록해 주세요.

1/3

KT 사고에서 드러난 통신사 보안 허점은?

IT동아

2025.11.14 17:15:51

조회 1028 추천 4 댓글 7

[IT동아 김예지 기자] KT 침해사고 민관합동조사단이 지난 11월 6일 KT 무단 소액결제 피해 사건에 대한 중간조사 결과를 발표했다. 결과에 따르면, 불법 펨토셀(소형 기지국)이 KT 내부망에 무단 접속해 피해를 야기한 정황과 함께 과거 악성코드에 감염된 서버를 발견하고도 신고하지 않고 자체 처리한 사실이 드러났다.

KT 침해사고 민관합동조사단장인 최우혁 과학기술정보통신부 네트워크실장 / 출처=e브리핑

앞서 10월 KT는 전수조사 기간을 2024년 약 13개월(2024년 8월 1일~2025년 9월 10일)로 확대해 결제이력, 통화기록, 기지국 접속기록을 조사해 불법 펨토셀 20개에 접속한 2만 2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황을 확인했다. 무단 소액결제 피해 고객은 총 368명(772건), 피해액은 약 2억 4000만 원으로 발표됐다.

KT, 불법 펨토셀 관리·인증 체계 부실

이번에 밝혀진 KT 침해사고의 직접적인 원인은 펨토셀 관리 체계의 총체적인 부실이었다. 조사단은 “불법 펨토셀이 KT망에 쉽게 접속할 수 있는 환경이었음을 확인했다”고 지적했다. 먼저 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용했다는 점이다. 이는 곧 인증서가 유출되면 복제하여 불법 펨토셀이 KT 내부망에 위장해 접속하는 것이 가능했다는 의미다. 더욱이 KT 인증서의 유효 기간은 10년으로 설정돼 한 번이라도 접속 이력이 있는 펨토셀은 계속 망에 접근할 수 있었다.

또한 조사단은 KT 내부망에서 펨토셀 접속 인증 시 타사 또는 해외 인터넷 통신 규약(IP)을 차단하지 않았으며, 펨토셀 제품 고유번호, 설치 지역정보 등 등록 여부도 검증하지 않았다고 밝혔다. 통신 장비 공급망의 취약성도 드러났다. 펨토셀 제조사가 셀 계정(셀ID), 인증서, KT 서버 IP 등 중요 정보를 보안 관리 체계 없이 외주사에 제공했다. 공격자가 취약한 공급망을 통해 핵심 인증 정보를 쉽게 탈취해 불법 장치를 제작할 수 있다는 문제점이 드러난 셈이다.

지난 10월 KT가 소액결제 피해와 관련한 데이터의 전수조사를 완료하고 그 결과를 발표했다 / 출처=IT동아

문제는 통신 데이터의 암호화 체계를 무력화했다는 점에 있다. 통신 3사는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준 권고에 따라 단말(휴대전화)-기지국 간 구간 암호화와, 단말-핵심망(코어망) 간 종단 암호화를 적용한다. 구간 암호화는 통신 데이터가 흐르는 경로를 암호화한 것이며, 종단 암호화는 전체 경로를 암호화한 것이다.

조사단은 실험을 통해 불법 펨토셀을 장악한 공격자가 종단 암호화를 해제할 수 있었고, 이 상태에서 불법 펨토셀이 소액결제 인증에 사용되는 ARS 및 SMS 인증 정보를 평문 상태로 취득할 수 있었던 것으로 판단했다. 6일 진행된 브리핑에서 관계자는 “종단 암호화가 해제된 것은 이례적이며, 불법 펨토셀이 휴대전화와 코어망 사이에서 중간 역할을 했기 때문”이라고 설명했다.

이에 조사단은 불법 펨토셀 접속 차단을 위해 통신 3사에 신규 펨토셀 접속 전면 제한, 인증서 유효기간 1개월로 단축, 제품별 별도 인증서 발급 등 조치를 명령했다. 현재 조사단은 결제 인증 정보 외에 문자, 음성통화 등 탈취 가능성에 대해 추가 조사를 진행 중이다.

한편, KT의 미흡한 보안 대응도 도마에 올랐다. KT는 무단 소액결제 사고를 인지하고도 신고를 지연한 점에서 지적받았다. 뿐만 아니라 조사단이 서버 포렌식 분석 중 KT가 2024년 3월부터 7월까지 악성코드(BPFDoor)에 감염된 서버 43대를 발견하고도 신고하지 않았다는 사실을 밝혀냈다. 일부 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI)가 저장돼 있었다. 이에 관계자는 “KT가 감염된 서버가 43대임을 보고했고, 아직 조사를 통해 밝혀낼 부분이 남아있다”고 말했다.

드러난 인프라 허점, 개선 방안은?

KT 침해사고 민관합동조사단이 지난 11월 6일 KT 무단 소액결제 피해 사건에 대한 중간조사 결과를 발표했다 / 출처=e브리핑

KT 사태를 통해 드러난 보안 취약점은 전통적인 경계 보안 개념의 붕괴를 보여준다. 불법 펨토셀의 침투는 단순한 관리 실수가 아니라, 내부 네트워크 접근 통제 시스템이 미흡했던 구조적인 문제를 드러낸다. 펨토셀은 네트워크 트래픽 분산을 위해 도입된 장비였으나, 엣지에 위치하며 취약한 인증 구조를 가질 경우 코어망을 공격하는 다리가 된다. 특히 이러한 취약점은 수많은 장치들이 연결되는 대규모 환경에서 더욱 위험하다.

특히 펨토셀 제조사가 중요 정보를 보안 관리 체계 없이 외주사에 제공한 사실은 공급망 전체가 취약했음을 나타낸다. 공격자가 보안이 취약한 협력사를 공략해 핵심 인증 정보를 탈취할 가능성이 있는 만큼 통신망 구성 요소 전반의 신뢰성 검증을 공급망 전반으로 확대해야 한다. 공급망 보안이 갖춰지지 않으면 운영사가 아무리 방화벽을 쌓아도 무용지물이 된다.

제로 트러스트 모델 이미지 / 출처=SGA솔루션즈

이러한 가운데, 최근 모든 기업이 갖춰야 할 보안 모델로 ‘모든 접근을 의심하고 검증한다’는 ‘제로 트러스트(Zero Trust)’ 아키텍처가 주목받는다. 내부망이든 외부망이든 모든 접근 요청에 대해 신원을 기반으로 검증하고 최소 권한만을 부여하는 것을 목표하는 방법이다. 내부망 접근 권한을 가진 펨토셀에 동일 인증서와 10년 유효기간을 부여하는 건 제로 트러스트 보안 관점에서 용납되지 않는다. 수많은 엣지와 엔드포인트로 구성돼 경계가 모호한 환경에서는 네트워크 경계가 아닌 데이터 자체를 보호하고, 접근 장치를 지속 검증하는 제로 트러스트 모델 구축이 필수적이다.

지난 4월 SKT 유심해킹 사고 이후 통신3사는 제로 트러스트 보안을 핵심으로 하는 대규모 투자 계획을 발표했다. SKT와 LG유플러스가 향후 5년간 7000억 원, KT가 약 1조 원 투자 규모를 밝힌 만큼 이번 연쇄 사태를 보안 혁신의 전환점으로 삼아야 한다는 목소리가 높다. 보안 업계 관계자는 “보안은 사고가 발생한 후 수습하는 사후 대응 방식이 아니라, 선제적으로 대응해야 하는 영역이라는 인식이 사회 전반에 확산돼야 한다”고 말했다.

통신 인프라의 보안 강화는 우리 삶의 바탕이 되는 국가 통신망을 국민이 믿고 쓸 수 있게 만드는 사회적 책임에 가깝다. 통신사는 이번 사고를 점차 복잡해지는 네트워크 환경과 복잡해지는 위협에 대비하기 위해 새로운 보안을 도입하고, 데이터 중심 보안을 구축하는 기회로 삼아야 한다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

▶ “통화 중 실시간 AI 비서 호출” LG유플러스, 구글 제미나이 품은 익시오 2.0 공개 ▶ SK그룹, ‘AI 인프라 대표주자’ 될 수 있을까 ▶ 대한민국을 글로벌 AI 기술 강국으로 이끌 촉매제, FIX 2025

고정닉 0

원본 첨부파일 4본문 이미지 다운로드

전체 댓글 0개

등록순 최신순 답글순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	취미 부자여서 결혼 못 할 것 같은 스타는?	운영자	26/01/19	-	-
6518	"진로 교육 현장 목소리를 기술로" 사자가온다, 흥미·가치 높인 콘텐츠에 집중 [경북대 X IT동아]	IT동아	09:52	7	1
6517	[리뷰] 소니 미러리스 카메라의 발전 방향을 보여준 A7M5	IT동아	01.22	18	0
6516	[월간자동차] 25년 12월, ‘테슬라 모델 Y’ 8개월 연속 판매 1위	IT동아	01.22	11	0
6515	HP, 게이밍 브랜드 ‘하이퍼엑스’로 통합…‘오멘’은 어찌되나?	IT동아	01.22	19	0
6514	'국내 반입 금지 성분 한눈에' 해외직구식품 올바로, 89만 명이 찾는 이유 [1]	IT동아	01.22	1132	4
6513	[써니모모의 '육십 먹고 생성AI'] 4. 구글 '노트북LM'으로 기억을 확장하기	IT동아	01.22	18	0
6512	[정훈구의 인터'스페이스'] 서울숲, 성수동 잇는 '거리 설계'의 실험장	IT동아	01.22	15	1
6511	다이슨, 2026년형 홈 가전 3종 출시··· '더현대 팝업스토어에서 만나요'	IT동아	01.22	18	0
6510	스테이블코인 발행 주체 제한 논란, 업계 “혁신 저해 우려”	IT동아	01.22	13	0
6509	‘자녀의 쇼츠 중독 방지’…유튜브 청소년 보호 기능 살펴보니	IT동아	01.22	21	0
6508	서울과기대, 초창패 투자파트너 IR 라이브로 '창업 분야 역량' 증명	IT동아	01.22	18	0
6507	[시승기] 포화 상태 중형 SUV 시장에 던진 르노의 승부수…'그랑 콜레오스'	IT동아	01.21	23	0
6506	[주간스타트업동향] 칼렛바이오, '리펄프 테이프' 혁신제품 지정 外	IT동아	01.21	20	0
6505	[경북대 X IT동아] 사람과모빌리티, V2N2X 표준화 선도로 자율협력주행 ‘안전 기준’ 세운다	IT동아	01.21	23	0
6504	토큰증권 규제 국회 본회의 통과, 시장 개설은 지연	IT동아	01.21	288	2
6503	[스타트업-ing] "친환경 임플란트로 주목" 비투랩, 더 탄탄하게 성장한 이유	IT동아	01.21	21	0
6502	한국 소비자 SSD 시장 가까이 가겠다는 키오시아 “크루셜 빈자리 채우러 왔습니다”	IT동아	01.20	106	0
6501	잇단 유출 사고에 ‘개인정보보호 관리체계 인증제도’ 개편…달라지는 점은? [5]	IT동아	01.20	427	0
6500	[위클리AI] 구글 제미나이, 더 유용해진다···오픈AI와 차별화 외	IT동아	01.20	26	0
6499	중고차 시장에 스며든 AI…맞춤형 진단·추천 기능으로 신뢰도 높인다	IT동아	01.20	31	0
6498	엔비디아, DLSS 4.5·DGX 스파크 앞세워 AI PC 생태계 확장 나선다	IT동아	01.20	46	0
6497	"무료 AI 쓰려면 광고 봐야?" 챗GPT의 실험, AI 뉴노멀 될까	IT동아	01.20	45	0
6496	'관광객 1000만 시대' 꿈꾸는 거창군, 바바그라운드와의 협업으로 가능성 키운다	IT동아	01.20	26	0
6495	[투자를IT다] 2026년 1월 3주차 IT기업 주요 소식과 시장 전망	IT동아	01.20	286	0
6494	네이버 탈락시킨 '프롬 스크래치' 잣대··· 기술 효율보다 독자성 택한 과기부	IT동아	01.19	93	0
6493	[뉴스줌인] 한층 실속 더한 가성비폰 ‘포코 M8 5G’ 출시, 갤럭시 A36과 비교하면?	IT동아	01.19	114	0
6492	[신차공개] 제네시스 ‘GV60 마그마’·’2026 G70·G70 슈팅 브레이크’ 출시	IT동아	01.19	45	0
6491	[정석희의 기후 에너지 인사이트] 2. 기후변화의 바이블? IPCC 보고서 '제대로' 활용하기 [3]	IT동아	01.19	633	1
6490	아디다스 러닝 앱, 한국 정식 출시···나이키 NRC 아성 위협할까	IT동아	01.19	24	0
6489	‘속도보다 체감 품질 중요’…2025년 5G 품질 성적표 살펴보니	IT동아	01.19	83	0
6488	SBA·K-DATA '서울형 R&D 기업 데이터 보증’으로 성장 사다리 잇는다	IT동아	01.19	26	0
6487	엔비디아 DLSS 4.5 “2세대 트랜스포머 모델로 게임 그래픽 가속” [11]	IT동아	01.17	1216	1
6486	“물 들어올 때 노 젓자” 금융당국, 외환ㆍ자본시장 혁신 나선다	IT동아	01.16	56	0
6485	AI 열풍에 ‘금값’ 된 PC 부품, 기다림만이 답은 아니다	IT동아	01.16	162	0
6484	서울지하철, 신형 교통카드 키오스크 설치…17년 만에 무엇이 바뀌었나 [7]	IT동아	01.16	1810	4
6483	[IT하는법] 스마트폰 모바일 데이터 사용량을 제한하려면?	IT동아	01.16	114	0
6482	생성형을 넘어 에이전트로…공공 행정 분야 AI 2.0 전환 박차	IT동아	01.16	51	0
6481	연이은 보안 사고, 사이버보험 도움될까…통신사 보안 서비스는?	IT동아	01.16	1062	0
6480	[스타트업리뷰] 기업 채용 업무 효율성 높이는 세컨드팀 ‘AI면접관’	IT동아	01.16	36	0
6479	[써니모모의 '육십 먹고 생성AI'] 3. 디카/스마트폰 사진으로 애니메이션 만들기	IT동아	01.15	46	0
6478	[시승기] 전기차 시장에 등장한 또 하나의 선택지…'기아 EV4'	IT동아	01.15	44	0
6477	[경북대 X IT동아] 네오덱스 "개구기에서 의료 AI까지, 치의학계의 '퍼스트 무버' 될 것"	IT동아	01.15	143	0
6476	칩셋, 카메라, 가격...내달 발표 갤럭시 S26의 '3대 변수' [21]	IT동아	01.15	1447	54
6475	전통금융권과 손잡는 디지털자산 거래소, 2026년 지각 변동 예고	IT동아	01.15	48	0
6474	운전면허 벌점으로 정지·취소까지···KB국민은행·티맵서 확인하는 법	IT동아	01.15	49	0
6473	1월 22일 시행 예정되는 ‘AI 기본법’, 기업들은 준비됐나 [3]	IT동아	01.15	693	2
6472	“미국 우선주의” 트럼프 미디어가 발행한 ETF는 특별한가?	IT동아	01.14	59	0
6471	[주간스타트업동향] 딥인사이트, CES 2026서 '디멘뷰' 전시 성료 外	IT동아	01.14	120	0
6470	'오픈인프라서밋'으로 확인한 카카오클라우드의 고가용성·이중화 전략	IT동아	01.14	49	0
6469	소서릭스 AI 홈 오토메이션 SOL, CES 혁신상 수상 [SBA CES]	IT동아	01.14	45	0